prÁctica de certificaciÓn biometrÍa · prÁctica de certificaciÓn biometrÍa código 00b0-po-...

El presente documento es propiedad de e-certchile y está prohibida su descarga o

distribución sin previa autorización

La impresión o descarga de este documento constituye una COPIA NO CONTROLADA

PRÁCTICA DE

CERTIFICACIÓN

BIOMETRÍA

PRÁCTICA DE CERTIFICACIÓN BIOMETRÍA

Código 00B0-PO-02-I1-D1

Versión 0

Confidencialidad Público Nivel de Criticidad Alta Página 2 de 23

ÍNDICE

1. Introducción. .......................................................................................................... 3

2. Obligaciones y responsabilidades. ........................................................................... 6

3. Identificación y autenticación. .............................................................................. 12

4. Requerimientos operacionales. ............................................................................. 13

5. Control físico, procedimientos y personal. ............................................................ 15

6 Controles de seguridad técnica. ............................................................................ 19

7 Administración de la CPS. ..................................................................................... 21



Versión 0


1. Introducción.

1.1. Presentación.

Las prácticas de biometría de e-certchile son una descripción detallada de las políticas,

procedimientos y mecanismos que nos obligamos a cumplir para tratar los datos usados en

la creación y la verificación de los elementos biométricos que son gestionados por e-

certchile. En ellas se explican, entre otras cosas:

• Las obligaciones y responsabilidades que tiene e-certchile, los titulares y las

terceras partes que confían.

• La forma en que se gestiona el enrolamiento, verificación y uso de los datos

biométricos asociados a un titular.

• Los procedimientos para las auditorías, la forma en que protegemos los datos

biométricos y la forma en que hacemos frente a la contingencia y recuperación

de desastres.

• Las prácticas de seguridad física, del personal y de seguridad técnica.

• La forma en que se administra nuestra Práctica de Biometría, incluyendo la

forma en que puede ser modificada.

1.2. Identificación.

El presente documento se individualiza como “Práctica de Biometría e-certchile” o “CPSB e-

certchile”.

La “CPSB e-certchile” se ha preparado siguiendo las especificaciones de la Guía de

Evaluación Procedimiento de Acreditación PSC BIO definido por el Ministerio de Economía,

Fomento y Turismo.

A esta “CPSB e-certchile” podrá acceder permanentemente a través de https://www.e-

certchile.cl/quienes-somos/politicas-y-practicas-0

https://www.e-certchile.cl/quienes-somos/politicas-y-practicas-0




Versión 0


1.3. Comunidad y aplicabilidad.

La “CPSB e-certchile” se aplica a todos los tratamientos de datos biométricos que realiza e-

certchile para verificar la identidad del solicitante de un certificado de firma electrónica a

ser emitido por e-certchile.

El uso de los datos biométricos y la información asociada a éstos está restringida a las

condiciones de uso específicamente descritas en esta “CPSB e-certchile”.

1.4. Tipos y usos de datos biométricos.

e-certchile tiene un único tipo de enrolamiento biométrico que permite comprobar la

identidad de una persona, de manera de determinar si ella es quien dice ser. Esta

verificación puede ser parte de cualquier proceso de emisión de un certificado de firma

electrónica. e-certchile realiza la comparación automática del dato biométrico capturado

en vivo, respecto de aquel que se contiene en la cédula de identidad de la persona que

requiere demostrar su identidad. El resultado de esta comparación será una aprobación o

rechazo de identidad.

Los servicios de biometría no registran minucias en los sistemas de e-certchile y no realizan

enrolamiento de huellas para operar. Se registrará únicamente la información que permite

a e-certchile trazar la verificación biométrica realizada.

El registro de la verificación biométrica es almacenado en la Base de Datos de Verificación

Biométrica de e-certchile y podrá ser consultados desde el Servicio de Consulta de Datos

Biométricos por los servicios de certificación de firma electrónica para la emisión de

certificados.

1.5. Entidades.

5.4.1 1.5.1 Certificador. Es la persona jurídica que opera y controla el

funcionamiento de los procesos de comprobación de la



Versión 0


identidad de una persona natural a través de su información

biométrica.

e-certchile se encuentra acreditado por la Entidad Acreditadora desde el año

2016, mediante la Resolución Exenta Nº 3919, de la Subsecretaría de

Economía.

5.4.2 1.5.2 Titular. Persona natural para la cual se realiza la comprobación de su

identidad a partir de sus datos biométricos.

1.5.3 Terceras partes de confianza. Aquella persona que voluntaria y libremente

decide hacer uso y/o confiar en la comprobación de la identidad que realiza e-

certchile a partir de su sistema biométrico.

1.5.4 Entidad Acreditadora: La Subsecretaría de Economía y Empresas de Menor

Tamaño en virtud de lo dispuesto en la Ley 19.799.

1.6. Detalles de contacto.

• Dirección postal: Monjitas 392 Piso 17, comuna y ciudad de Santiago de Chile.

• Correo electrónico: [email protected]

• Teléfono: (+56 2) 2360 7175

• Mesa ayuda certificación: (+56 2) 2818 5760

• Sucursales

o Enrique Mac-Iver 410, comuna y ciudad de Santiago de Chile:

Lunes a Jueves: 09:00 – 17:30 hrs.

Viernes 09:00 – 14:30 hrs.

o Av. Nueva Providencia 2260, Local 81, comuna de Providencia y ciudad de

Santiago de Chile

Lunes a Jueves: 09:00 – 17:30 hrs.

Viernes 09:00 – 14:30 hrs.

mailto:[email protected]



Versión 0


2. Obligaciones y responsabilidades.

2.1. Obligaciones.

5.4.3 e-certchile.

Se obliga a:

a. Ofrecer y mantener instalaciones, sistemas, programas informáticos y los

recursos humanos necesarios para los servicios de comprobación de identidad

a través de sistemas biométricos en los términos establecidos en la Guía de

Evaluación Procedimiento de Acreditación PSC BIO del Ministerio de Economía,

Fomento y Turismo.

b. Cumplir y respetar los procedimientos establecidos en esta “CPSB e-certchile”.

c. Cumplir con todas las otras obligaciones establecidas en la Ley 19.799, el

Decreto Supremo 181, de 2002, del Ministerio de Economía, Fomento y Turismo

y las normas técnicas dictadas conforme a éste.

d. Configurar y mantener una Base de Datos de Verificación Biométrica que

contenga la información que permite a e-certchile trazar las verificaciones

biométricas realizadas.

e. Utilizar técnicas y medios electrónicos ipara comprobar la identidad de los

solicitantes de certificados de firma electrónica a través de biometría de

conformidad con lo dispuesto en esta “CPSB e-certchile”.

f. Solicitar la cancelación de su inscripción en el registro de prestadores

acreditados llevado por la Entidad Acreditadora, con una antelación no inferior

a un mes cuando vayan a cesar su actividad.

g. Indicar a la Entidad Acreditadora cualquier otra circunstancia relevante que

pueda impedir la continuación de su actividad. En especial, deberá comunicar,

en cuanto tenga conocimiento de ello, el inicio de un procedimiento concursal

de liquidación o que se encuentre en cesación de pagos.



Versión 0


h. Implementar adecuadamente la Ley 19.628 con la finalidad de proteger los

datos personales de los titulares.

2.1.2 Titular.

Se obliga a:

i. Ser persona natural mayor de 18 años.

j. Proveer a e-certchile toda la información que de acuerdo con esta “CPSB e-

certchile” es requerida para comprobar su identidad.

k. Conocer las políticas y prácticas de certificación biométricas.

l. Pagar las tarifas convenidas por concepto de los servicios de certificación, aun

cuando no se acepten o no se ocupen los certificados emitidos.

2.1.3 Obligación general.

Los usuarios de los servicios de e-certchile se obligan a conocer y aceptar los términos,

condiciones y límites contenidos en estas “CPSB e-certchile” en la Prácticas de Certificación

“CPS e-certchile” y en las Políticas de Certificados (CP), los que en conjunto regulan la

prestación de los servicios de certificación de firma electrónica.

2.2. Responsabilidades.

5.4.4 e-certchile.

a. Comprobar la identidad de los solicitantes de certificados de firma electrónica

a través de biometría de conformidad con lo dispuesto en esta “CPSB e-

certchile”.

b. Publicar en la Base de Datos de Verificación Biométrica la información que

permite a e-certchile trazar las verificaciones biométricas realizadas.

c. Aplicar correctamente el procedimiento empleado.

e-certchile no será responsable por ningún dano o perjuicio actual o futuro, directo o

indirecto, previsto o imprevisto, emergente o lucro cesante, pérdida de datos u otros,

debidos, ocasionados o conectados con la comprobación de identidad biométrica, aun

cuando e-certchile hubiera sido advertido de la posibilidad de produccion de tales danos.



Versión 0


2.2.2 Limitación de responsabilidad de e-certchile.

Las responsabilidades que afectan la operación de e-certchile se encuentran limitadas a lo

establecido en el artículo 14 de la Ley 19.799.

En todo caso, la responsabilidad de e-certchile cualquiera sea la naturaleza de la acción o

reclamo y salvo que medie dolo o culpa grave atribuible a e-certchile, quedará limitada

como máximo al monto correspondiente a UF 5.000 (cinco mil unidades de fomento),

monto asegurado de conformidad con lo dispuesto en el artículo 14 de la Ley 19.799 y el

Decreto supremo 181, de 2002, del Ministerio de Economía, Fomento y Turismo.

La actividad de certificación de e-certchile se encuentra limitada al uso del dato biométrico,

esto es los procesos asociados a la comprobación de la identidad del solicitante de un

certificado de firma electrónica utilizando biometría en los términos establecidos en esta

“CPSB e-certchile”.

5.4.5 2.2.3 Fuerza mayor.

e-certchile no será responsable por daños, pérdidas o perjuicios que provengan de

incumplimientos en la prestación de servicios de comprobación de identidad con biometría

y que sean atribuibles a circunstancias constitutivas de caso fortuito o fuerza mayor.

Las obligaciones de e-certchile afectadas por el caso fortuito o la fuerza mayor se

suspenderán por el período de tiempo que dure el hecho que lo motivó.

Para los efectos de esta “CPSB e-certchile” se entenderá por caso fortuito o fuerza mayor

lo dispuesto en el artículo 45 del Código Civil, lo que incluye guerras, desastres naturales,

paros, huelgas o suspensión de laborales del personal de e-certchile o de sus contratistas o

subcontratistas, sin que esta enumeración sea taxativa.

5.4.6 2.2.4 Titular.

El Titular es responsable de:

a. Colocar su huella digital en los dispositivos habilitados especialmente para la

comprobación de la identidad.



Versión 0


b. Presentar una cédula de identidad que se encuentre en condiciones de

permitir realizar la comprobación automática del dato biométrico capturado

en vivo contra ella.

c. Indemnizar e-certchile de todo daño o perjuicio proveniente de cualquier

accion u omision negligente, culposa o dolosa de su parte.

2.2.5 Usuario.

El Usuario que confía y usa libre y espontáneamente una comprobación de identidad asume

la responsabilidad y riesgos derivados de la aceptacion de ésta, cuando no haya realizado

en forma previa los pasos necesarios para la verificacion de su validez de acuerdo con las

“CPSB e-certchile”.

2.3. Ley aplicable y resolución de controversias.

5.4.7 2.3.1 Ley aplicable.

Esta “CPSB e-certchile” se rigen por la ley Chilena y se someterán al Tribunal Arbitral que

más adelante se expresa.

5.4.8 2.3.2 Procedimiento de resolución de conflictos.

Cualquier diferencia, dificultad, problema o controversia que pueda surgir con motivo de la

validez, eficacia, interpretación, nulidad, cumplimiento o incumplimiento de esta “CPSB e-

certchile será resuelto definitivamente por un árbitro mixto, quien tramitará como árbitro

arbitrador pero que fallará conforme a derecho. El fallo del árbitro será en única y definitiva

instancia, sin que, en contra de sus resoluciones y fallo, ya sean de substanciación o de

medidas precautorias o bien el fallo definitivo, proceda ningún recurso. El arbitraje se

llevará a cabo en la ciudad de Santiago. El árbitro estará solamente obligado a constituir

legalmente el arbitraje, a oír a las Partes en conjunto o separadamente, según él lo decida,

a recibir las pruebas que se presenten y a dictar su sentencia oportunamente. Las

resoluciones se notificarán por carta certificada dirigidas a las Partes o a sus representantes

designados en esta escritura o en el respectivo proceso, a las direcciones que ellos señalen

en tales instrumentos, salvo la primera notificación del proceso y la de la sentencia



Versión 0


definitiva que deberán notificarse en conformidad a las reglas establecidas para dichas

resoluciones en el Título Sexto, del Libro Primero, del Código de Procedimiento Civil. El

árbitro designado podrá actuar cuantas veces fuere requerido, por asuntos diferentes,

promovidos por cualquiera de las Partes, y en caso de ausencia o impedimento acreditada

a juicio del sustituto, éste podrá intervenir de inmediato, en carácter de subrogante, en el

estado en que el asunto se encuentre, sin otro requisito que aceptar el cargo. El respectivo

proceso podrá continuarse incluso en una copia autorizada de los autos que cualesquiera

de las Partes presentaren ante el sustituto. La evidencia de haberse ausentado del país el

árbitro en ejercicio por más de treinta días sin haber regresado, o de impedimento de otra

naturaleza acreditado ante el sustituto por medios idóneos y que dure más de treinta días

será considerado como ausencia del árbitro.

El árbitro deberá tener el carácter de mixto y su designación será efectuada, a solicitud

escrita de cualquiera de las Partes, por la Cámara de Comercio de Santiago A.G. de entre los

integrantes de la lista arbitral de su Centro de Arbitraje y Mediación, para lo cual las Partes

le otorgan, mediante este instrumento, un mandato especial e irrevocable.

5.4.9 2.3.3 Separación y divisibilidad de cláusulas.

En el evento que alguna disposicion contenida en la “CPSB e-certchile” sea declarada nula,

inoponible o cualquier otra causa de ineficacia jurídica, se deja constancia que dicha

declaracion solo afecta la norma en particular, dejando vigente en su integridad el resto del

documento.

5.4.10 2.3.4 Conflicto de normas.

En caso de producirse un conflicto de normas, se seguirá el siguiente orden de precedencia:

a. Ley 19.799.

b. Decreto Supremo 181, de 2002, del Ministerio de Economía, Fomento y

Turismo que reglamenta la Ley 19.799.

c. “CPSB e-certhile” vigente.

d. Otros documentos relacionados con la prestacion de servicios de certificacion.



Versión 0


5.4.11 2.3.5 Limitación de uso de los datos biométricos.

Se deja constancia que e-certchile no almacena datos biométricos, sino que únicamente

una traza que permite realizar el seguimiento de la verificación biométrica realizada,

pudiendo ser consultada por la infraestructura de clave pública (PKI) de e-certchile desde el

Servicio de Consulta de Datos Biométricos para la emisión de certificados.

No se permite el uso de los datos biométricos en una forma diferente a la señalada en esta

“CPSB e-certchile” para la emision de certificados de firma electronica.

2.4. Tarifas.

No aplica.

2.5. Publicaciones y repositorio.

e-certchile mantiene permanentemente a disposicion de cualquier interesado esta “CPSB

e-certchile” en https://www.e-certchile.cl/quienes-somos/politicas-y-practicas-0.

Cualquier modificación a esta “CPSB e-certchile” generará una nueva version, debiendo

publicarse dicho cambio y custodiarse la versión anterior.

Cualquier situación ocasionada con relación a la comprobación de la identidad en forma

biométrica y de las obligaciones contraídas por e-certchile se resolverán de acuerdo con la

“CPSB e-certchile” vigente al momento de la comprobación de la identidad en cuestión.

La información respecto al las comprobaciones de identidad a través de biometría realizada

por e-certchile se encuentra disponible en el Servicio de Consulta de Datos Biométricos, al

que también se puede acceder desde www.e-certchile.cl.

2.6. Auditorías.

e-certchile, en su calidad de certificador acreditado, es inspeccionado anualmente por la

Entidad Acreditadora para mantener vigente la acreditación obtenida en el año 2016.

e-certchile realiza auditorias a su instalaciones y sistemas como parte de sus certificaciones

ISO/IEC 19.001 y ISO/IEC 27.001, comprometiéndose a corregir dentro de un plazo

razonable, las eventuales deficiencias que se puedan encontrar.


http://www.e-certchile.cl/



Versión 0


2.7. Protección de datos personales.

El tratamiento de sus datos persoanales es importante para nosotros y para protegerla de

mejor manera hemos diseñado una política de tratamiento de datos.

Esta política explica la forma en que tratmos sus datos personales y las opciones que Ud.

tiene respecto a lo que hacemos. En todo caso, tenga presente que todos los tratamientos

los hacemos en el marco de la habilitación legal que nos otorga la Ley 19.799 y en los

términos establecidos en la Ley 19.628. Nuestra política vigente siempre la encontrará

disponible en https://www.e-certchile.cl/quienes-somos/politicas-y-practicas-0.

2.8. Derechos de propiedad intelectual e industrial.

Pertenecerá a e-certchile, en forma total y exclusiva, la propiedad intelectual e industrial de

las obras creadas, desarrolladas o modificadas para la prestación de los servicios de

comprobación de identidad biométrica. Ningún derecho de propiedad intelectual o

industrial preexistente o que se adquiera o licencie a o por e-certchile se entenderá

conferido a cualquiera de las personas individualizadas en el punto 1.5 Entidades.

Los titulares y usuarios no podrán hacer uso del nombre, marca o logo de e-certchile para

efectos de publicidad o cualquiera otro, sin perjuicio de poder pactar especialmente, de

acuerdo al tipo y alcances de difusión, condiciones diversas con e-certchile, mediante un

acuerdo escrito.

3. Identificación y autenticación.

3.1. Registro.

e-certchile verifica la identidad de la persona a la cual se asociará el dato biométrico. Para

esto el titular se presentará ante e-certchile o ante alguna de sus autoridades de registro

quien estará encargado de verificar la identidad de este versus la cédula de identidad

presentada.

La identificación de los titulares se realiza de conformidad con las normas y procedimientos

establecidos en esta “CPSB e-certchile” y, en todo caso:




Versión 0


a. A través de la comparecencia en forma personal y directa a las oficinas de e-

certchile o de la autoridad de registro.

b. Colocando el titular su huella digital en los dispositivos habilitados especialmente

para la comprobación de la identidad.

c. Presentando su cédula de identidad para permitir realizar la comprobación

automática del dato biométrico capturado en vivo contra ella.

Todas las autoridades de registro de e-certchile realizarán de identica forma el proceso de

comprobación de la identidad del titular.

5.4.12 Comprobaciones con terceros de confianza.

Al momento de identificar al titular, e-certchile comprueba con el Registro Civil que la

cédula de identidad se encuentre vigente y no bloqueada y que el solicitante se encuentre

vivo.

3.2. Identificación frente a otras solicitudes.

5.4.13 3.2.1 Solicitud de suspensión y revocación.

No aplica por cuanto e-certchile no registra minucias en sus sistemas ni realiza enrolamiento

de huellas para operar. Se registrará únicamente la información que permite a e-certchile

trazar la verificación biométrica realizada.

5.4.14 3.2.2 Solicitud de renovación.

No aplica.

4. Requerimientos operacionales.

Los requisitos operacionales de e-certchile para comprobar la identidad de los titulares

cuenta con los siguientes componentes de sistema:

4.1. Interfaces.

El servicio biométrico ofrecido por e-certchile establece una interfaz entre la PSC, la Unidad

de Registro y el titular. Esta interfaz de vinculación se genera en la captura de los datos

relevantes para el proceso de comprobación de la identidad del solicitante de un certificado

de firma electrónica avanzada, los cuales son comprobados por la Unidad de Registro, por



Versión 0


medio de la verificación automática de dicha cédula contra los datos capturados en vivo y

además de la vigencia del instrumento presentado.

Una vez comprobada la identidad del solicitante con la información biométrica, se procede

a almacenar la traza que permita auditar dicha comprobación y se procede a la emisión del

certificado de firma electrónica avanzada en la forma establecida en la Práctica de

Certificación e-certchile (Agregar nombre documento) y la Política de Certificado Firma

Electrónica Avanzada (Agregar nombre documento).

4.2. Algoritmo de reconocimiento de impresión dactilar.

Estándar ANSI 378 que establece criterios para representar e intercambiar la información

de las huellas dactilares a través del uso de minucias. El propósito de esta norma es que un

sistema biométrico dactilar pueda realizar procesos de verificación de identidad e

identificación, empleando información biométrica proveniente de otros sistemas.

4.3. Base de Datos de Verificación Biométrica.

e-certchile mantiene almacenada toda la información asociada a la traza de la verificación

biométrica realizada, no registrando minucias en los sistemas de e-certchile ni huellas

enroladas.

4.4. Procesos de auditoría.

e-certchile es inspeccionado anualmente por la Entidad Acreditadora para los efectos de

velar porque las instalaciones, sistemas, programas informáticos y los recursos humanos

necesarios para otorgar los certificados en los términos que se establecen en esta ley y en

el reglamento se mantienen permanentemente vigentes.

Adicionalmente, se realizan periódicamente auditorias para mantener las certificaciones

ISO 9.001 y ISO/IEC 27.001.

4.5. Segregación de funciones.

e-certchile tiene separadas las responsabilidades de las diversas actividades que

intervienen en la prestación de los servicios biométricos, incluyendo la autorización y

registro de transacciones, así como mantener la custodia de activos.



Versión 0


4.6. Procedimientos de respaldo.

Los respaldos de servidores de e-certchile, son realizados haciendo uso de medios

magnéticos que aseguran la permanencia de la información a lo menos en 6 años. Los

respaldos se realizan diariamente, incluyendo un respaldo incremental de los datos

administrados por los sistemas de información, así como un respaldo total semanal. Los

respaldos mensuales, son mantenidos como históricos.

5. Control físico, procedimientos y personal.

5.1. Control físico.

La ubicación física de la unidad que otorgue los servicios de biometría no será publicada en

esta Práctica de Certificación e-certchile “CPS e-certchile” por motivos de seguridad, sin

perjuicio que nos puede ubicar en Monjitas 392, Piso 17, comuna y ciudad de Santiago de

Chile.

El acceso físico a e-certchile dispone de un esquema de control de acceso. Asimismo, el

acceso físico a la unidad que otorga los servicios de certificación será bajo estrictas normas

de seguridad y monitoreo incluyendo esquemas electrónicos de identificación y control,

adicionalmente, este lugar dispone de elementos adecuados para la operación tales como

aire acondicionado, sistema de detección y prevención de incendios, almacenamiento

seguro de material confidencial, esquema seguro de respaldos externos para eventuales

catástrofes.

5.2. Procedimientos de control.

El control de las funciones se efectuará por medio de disponer de:

• Adecuada segregación de funciones.

• Control dual de las funciones críticas.

• Identificación y autenticación de cada rol.



Versión 0


5.3. Compromiso de seguridad y recuperación de desastres.

5.4.15 Alta disponibilidad.

En el eventual escenario de no disponibilidad por la falla de una o más componentes, se

evitarán las consecuencias negativas en el servicio mediante una configuración de alta

disponibilidad, por medio de la duplicación de los servicios y equipos necesarios para

otorgar los servicios críticos asociados a la comprobación biométrica de la identidad del

solicitante de un certificado de firma electrónica avanzada.

Dentro de los elementos duplicados para los sistemas críticos se incluyen servidores,

conexiones de red, switches y routers. Adicionalmente, se consideran conexiones a

diferentes prestadores de acceso a Internet que utilicen diferentes redes troncales de modo

de asegurar el acceso expedito desde diferentes proveedores de acceso.

5.4.16 5.3.1 Soporte de desastres.

Tratándose de un caso de desastre, para los sistemas críticos se dispone de un sitio

alternativo remoto de procesamiento, para asumir las funciones, con indicación de los

niveles de servicio y tiempo de recuperación comprometidos para continuar con la

prestación de los servicios biométricos.

Para los servicios no críticos se dispone de un Plan de Contingencia probado que permite

restablecer dichos servicios en un plazo adecuado a los tiempos involucrados con la emisión

de certificados.

Complementario a la solución de alta disponibilidad nuestro sistema de respaldo no permite

minimizar la pérdida de información.

Para asegurar la adecuada reposición de los servicios, en caso de fallas, se cuenta con

Manuales que permitan superarla de manera estructurada.

5.5 Control del personal.

5.5.1 Requerimiento de antecedentes y experiencia.

e-certchile requiere que todo el personal asociado a la certificadora cuente con una

calificación y experiencia acorde a la prestación de servicios de certificación, lo cual incluye:



Versión 0


• Conocimientos y formación sobre entornos de certificación digital biometría.

• Formación básica sobre seguridad en sistemas de información.

• Formación específica para su puesto.

• Título académico o experiencia en la industria equivalente.

• El personal que realiza un rol de confianza no debe tener conflictos de interés

que afecten la imparcialidad de las operaciones de la certificadora.

5.5.2 Comprobación de antecedentes.

e-certchile realiza una comprobación de los antecedentes del personal para

asegurar que cumpla con las formación y experiencia necesaria para asumir un rol

de confianza en la certificadora.

5.5.3 Roles de confianza.

e-certchile declara que sus roles de confianza al cumplir su función de TSA corresponden a:

• Oficial de seguridad: Responsable de la administración e implementación

de las prácticas de seguridad.

• Administrador de Sistemas: Responsable de instalar, configurar y

mantener los sistemas de confianza de la certificadora, para la

administración de sello de tiempo. Además, es responsable por la

operación de los sistemas y autorizado para realizar el respaldo y

recuperación.

• Administrador de Seguridad: Responsable de verificar la mantención de

los sistemas de confianza de la certificadora.

• Auditor: Responsable de revisar archivos y log de auditoría de la

certificadora.



Versión 0


5.5.4 Requerimientos de formación y reentrenamiento.

Como parte de las recomendaciones en que e-certchile ha trabajado, se considera

para el personal asociado a la certificadora, cursos de capacitación, los cuales en

contenido, duración y fechas estimadas se encuentran descritos en el Plan de

Capacitación anual de e-certchile para la certificadora de firma electrónica. Este

plan incluirá labores de reentrenamiento de existir cambios tecnológicos, en las

políticas o prácticas de certificación o cualquier documento que se considere

relevante de ser informado.

5.5.5 Sanciones.

El Reglamento Interno de Orden, Higiene y Seguridad considera las sanciones a las

que se pueden ver expuestos las personas que laboran en la certificadora.

5.5.6 Requerimientos de contratación.

Como parte de los requerimientos de contratación, todo trabajador de la

certificadora debe firmar un acuerdo de confidencialidad.

5.6 Documentación entregada al personal.

5.6.1 El personal de la certificadora tendrá a su disposición el siguiente

material:

• Declaración de Prácticas de Certificación e-certhile (CPS e-certchile).

• Declaración de Prácticas de Certificación Biometría e-certhile (CPSB e-

certchile).

• Declaración de Prácticas de Certificación Sellado de Tiempo e-certhile

(CPST e-certchile).

• Políticas de Certificación.

• Políticas de Tratamiento de Datos Personales.



Versión 0


• Políticas de Seguridad de la Información.

• Organigrama y funciones del personal

5.7 Control de cumplimiento.

De acuerdo al Plan de Seguridad se mide el control de cumplimiento de las

actividades programadas de manera anual.

5.8 Finalización de contratos.

La finalización de contratos cuenta con un procedimiento en el cual se suprimen los

privilegios de acceso del individuo a las instalaciones e información de la

organización, a excepción de la considerada publica, una vez informado el individuo

de su marcha y de su pérdida de privilegios, se verifica la devolución del material

entregado y se le informa al resto de la organización, a los proveedores y entidades

externas a e-certchile de que el individuo ya no representa a e- certchile.

6 Controles de seguridad técnica.

En esta sección se describen las medidas de seguridad que ha tomado para proteger los

resultados de las verificaciones de identidad realizadas para los efectos de asegurar que

sean accesible únicamente por las personas autorizadas.

6.4 Enrolamiento.

e-certchile no enrola huellas ni almacena minucias.

6.5 Verificación de identidad.

En el caso de “Cedula de identidad NEC-AFIS”, la información es recepcionada desde

el servicio de “Validacion DMA” y desencriptada por el módulo de administración, si no

existio algún error en la operacion, se genera el registro utilizando el servicio de “Registro

de Transacción Biométrica" con el estado “Coincidencia” o “No coincidencia”.



Versión 0


En el caso de “Cedula de identidad por sin Contacto”, se verifica la respuesta del MOC, si no

existió algún error en la operacion, se genera el registro utilizando el servicio de “Registro

de Transacción Biométrica" con el estado “Coincidencia” o “No coincidencia”.

Los servicios “Validacion DMA”, “Registro de Transaccion Biométrica" pertenecen a

“Servicios Biometría E-certchile”.

Estos servicios no requieren de una “Minucia” preexistente o “enrolada”, además

no realizan registro de la “Minucia” utilizada para el proceso de validación, solo se registran

valores que permite realizar una traza del resultado del proceso (fecha, hora, id único de

verificación y estado de coincidencia).

6.6 Formato del patrón de huella.

Se lee la minucia en formato ANSI378, si es correcta se convierte la minucia de ANSI378 a

ISO 19794-2 CS.

6.7 Comprobación de la calidad de las impresiones dactilares.

El hardware utilizado de Secugen, cuenta con la tecnología biométrica de huellas dactilares

de reflexión irregular mejorada en la superficie (SEIR). La tecnología SEIR de SecuGen se

utiliza para obtener imágenes de huellas dactilares de muy alto contraste con muy baja

distorsión. El alto contraste y la baja distorsión son las características de una excelente

calidad de imagen.

6.8 Fines del uso del dato biométrico.

e-certchile únicamente utiliza la información biométrica de los titulares para la emisión de

certificados de firma electrónica, simple y avanzada, por su infraestructura de cláve pública

(PKI) en los términos establecidos en la Práctica de Certificación e-certchile (CPS e-certchile)

y las Políticas de Certificados (CP) aplicable al tipo de certificado específico.

6.9 Protección del dato biométrico.

No aplica dado que no se enrolan huellas ni se almacenan minucias.

6.10 Controles de seguridad informática.



Versión 0


Algoritmo para mejorar el nivel de lectura de dedos, apoyando al control de dedos con

cicatrices, maneja eliminación de imagen de impresión latente, validación de temperatura

y conductividad permitiendo eliminar posibles ataques con siliconados.

6.11 Controles de seguridad de red.

e-certchile limita el acceso de sus redes al personal debidamente autorizado. Para lograr

ello, se implementan controles para proteger la red interna de acceso por terceras partes,

los datos sensibles son cifrados al momento ser intercambiado a través de redes no seguras

y se garantiza que los componentes locales de red están ubicados en entornos seguros.

6.12 Controles de seguridad de los módulos biométricos.

El proceso de validación biométrica del módulo se encuentra implementado en un

aplicativo web que se autentica mediante un esquema de usuario y credencial. El esquema

de validación se implementa en una modalidad cliente servidor en donde las credenciales

se encuentran resguardadas y centralizadas en un ambiente seguro de acceso de personal

no autorizado.

7 Administración de la CPS.

7.4 Procedimiento de Modificación de la CPSB.

Las “CPSB e-certchile” pueden ser modificadas cada vez que se estime necesario para

asegurar que se mantengan tecnológicamente vigentes, así como, para alterar la forma en

que se desarrolla la actividad por la introducción de mejoras en las instalaciones, sistemas,

programas informáticos y los recursos humanos empleados por e-certchile.

Cualquier modificacion que se haga a esta “CPSB e-certchile” deberá tener una fecha de

entrada en vigor no inferior a los 30 días desde la fecha en que se publica en www.e-

certchile.cl.

7.5 Políticas de publicación y notificación.

La modificacion de esta “CPSB e-certchile” será notificada a los Suscriptores de certificados

de e-certchile mediante correo electrónico enviado al correo contenido en el certificado de





Versión 0


firma electrónico con 30 días de anticipación a la fecha en que entren en vigor las

modificaciones introducidas.

El Suscriptor tendrá el plazo indicado para objetar la modificacion, en cuyo caso los

contratos firmados se entenderán resueltos.

Transcurrido dicho plazo sin que medie comunicacion se entenderá que el Suscriptor acepta

los cambios introducidos.

7.6 Procedimiento de aprobación de las CPSB.

Cualquier nueva version de una “CPSB e-certchile” estará sujeta a un procedimiento de

aprobacion que considera:

• Elaboración y aprobacion interna de la nueva “.

• Presentacion de las “CPSB e-certchile” al Directorio de e-certchile.

• Una vez pasada las aprobaciones anteriores, se publicarán las nuevas “CPSB e-

certchile” indicando la fecha de entrada en vigor.

Una vez publicadas las “CPSB e-certchile” se informará de éstas a la Entidad Acreditadora.



Versión 0


NORMA(S) QUE APLICA(N)

Norma Referencia Normativa

ISO 9001:2015 8.2.2 Determinación de los requisitos relacionados con los productos y servicios

ISO 27001:2013 N/A

Guía de Acreditación (Minecon) FEA

N/A

Guía de Acreditación (Minecon) BIO

PO02 Declaración de Práctica de Biometría

Guía de Acreditación (Minecon) TSA

N/A

CONTROL DE CAMBIOS

N° DE VERSIÓN FECHA DESCRIPCIÓN DE CAMBIOS

0 Julio/2020 Se estructura nuevo documento, se recomienda su lectura completa

prÁctica de certificaciÓn biometrÍa · prÁctica de certificaciÓn biometrÍa código 00b0-po-...

Documents